Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Auch Virus Alert in Task Leiste. (https://www.trojaner-board.de/55030-virus-alert-task-leiste.html)

Südafrikaner 30.06.2008 12:36
Auch Virus Alert in Task Leiste.
 
Guten Tag zusammen.
Ich habe auch dieses Virus Alert Problem. Oder vielmehr meine Schwester hat es.
Problem: Ich befinde mich in Südafrika und kommuniziere mit ihr über ICQ. Vor Ort hätte ich jetzt formatiert.
Aber eine Anleitung dafür und vorallem welche Daten sie vorher wie sichern soll geht einfach schlecht, deswegen würde ich gerne eine Formatierung vermeiden.
Programme kann sie keine runterladen, das mache ich und schicke sie ihr per ICQ.
Habe hier im Forum ein bisschen nach Lösungen gesucht und
deswegen schon das ein oder andere getestet:

Was bisher geschah:
Smitfraudfix im abgesicherten modus - keine Wirkung
Code:
SmitFraudFix v2.141

Scan done at 13:21:12,42, 27.06.2008
Run from F:\Tools\Internet\Sicherheit\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1      localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Malwarebytes im normalen sowie abgesicherten Modus laufen lassen - keine Wirkung
Logdateien habe ich grad noch nicht, kann ich aber vermutlich bekommen.
spybot im abgesicherten Modus - keine Wirkung (sorry, log habe ich mir auch noch nicht schicken lassen).

SuperAntispyware Versuch 1
Angehängt weil zu groß.

Gegen Ende will SAS neustarten, um dann die Bereinigung zu vervollständigen. Wenn es nach dem Neustart erneut selbstständig startet, wird der PC direkt neugebootet. Seitdem ist der Benutzer nicht mehr im normalen bootmodus zu erreichen, weil er direkt einfach wieder runterfährt.
Also SuperAntispyware im abgesicherten Modus laufen lassen.
Code:
SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 06/29/2008 at 07:08 PM

Application Version : 4.15.1000

Core Rules Database Version : 3493
Trace Rules Database Version: 1484

Scan type      : Complete Scan
Total Scan Time : 06:38:48

Memory items scanned      : 152
Memory threats detected  : 0
Registry items scanned    : 4805
Registry threats detected : 0
File items scanned        : 113845
File threats detected    : 2

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\xxx1\Cookies\xxx1@zbox.zanox[1].txt

Trojan.Dropper/Gen
        C:\WINDOWS\EKDA.EXE

['/CODE]
Benutzer geht immernoch nicht. Startet ständig neu.
Aber: die anderen Benutzer gehen noch, d.h. über die kann meine Schwester mich per ICQ erreichen.
Hier noch ein hijackthis log:
['CODE]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:09:58, on 29.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hijack\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://w*w.winamp.com/getwinamp/
R3 - URLSearchHook: (no name) - {CE000994-A58C-4441-8938-744CD72AB27F} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [LogitechSetup] I:\Setup\Setup.exe /start /restart /l:deu
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE

--
End of file - 5654 bytes
Ich glaube wir haben 4 Benutzer auf WinXP laufen (in den logs xxx1 bis xxx4). Der Benutzer mit Administrator rechten war meiner, und das ist der, der jetzt nur noch im abgesicherten Modus lief. Dieses Virus Alert wurde aber nicht bei allen angezeigt.
Anhand der logs solltet ihr sehen können, dass mein Bruder auch ein Benutzerkonto hat und auf gewissen Seiten war, wo er eigentlich nicht sein sollte und da wohl der Virus herkommt.
Zuletzt versucht: Wir haben versucht CCleaner zu installieren, um es laufen zu lassen und per Combofix eine weitere log zu bekommen.
CCleaner brachte aber eine Fehlermeldung bei der Installation "fehler beim überschreiben der datei
c/programme/ccleaner/ccleaner.exe" bevor wir da weiterinstallieren habe ich mich entschieden jetzt doch erstmal nachzufragen.
Es wäre super nett, wenn mir jemand helfen könnte. Meine Schwester ist nicht dumm, sie braucht nur eine genaue Beschreibung was sie tun soll und dann macht sie das auch.
Systemwiederherstellung sollte deaktiviert sein und systemdateien sowie versteckte werden angezeigt (zumindest behauptet meine Schwester das nach Anleitung so eingestellt zu haben).
Vielen Dank schonmal.
Grüße aus dem Süden

Südafrikaner 30.06.2008 12:59
Hier die zwei mbam logs:

[CODE]

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 895

17:20:41 27.06.2008
mbam-log-6-27-2008 (17-20-41).txt

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Objekte gescannt: 179351
Scan Dauer: 1 hour(s), 33 minute(s), 46 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 12
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 3
Infizierte Dateien: 17

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{116312d6-7379-49ad-b71e-e7fb58a7ede1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1805192f-9c87-4eee-8f47-495b0493e73d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{8f8d7b5e-f563-4de9-a9b8-e968e6954fa7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e1b59d0a-dc1b-47ca-9753-1bcbde3f6c41} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{7ae7f28a-1e89-49d1-9f2b-50aa25b90c6e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e4a847f1-5b48-43fe-aca3-6c0ed65ea4ec} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6ac9609f-4089-46b2-b5c5-a1cc114433f4} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6ac9609f-4089-46b2-b5c5-a1cc114433f4} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vrmdtneg.bmeq (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\vrmdtneg.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.Fakealert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{e4a847f1-5b48-43fe-aca3-6c0ed65ea4ec} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55375-645-2775716-23164) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\privacy_danger (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{7E63A5B1-C85C-46BE-89ED-279179FD0C2A}\RP132\A0067112.exe (Rogue.SpyGuarder) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7E63A5B1-C85C-46BE-89ED-279179FD0C2A}\RP132\A0067160.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7E63A5B1-C85C-46BE-89ED-279179FD0C2A}\RP132\A0073284.dll (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7E63A5B1-C85C-46BE-89ED-279179FD0C2A}\RP132\A0073285.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\wpvmqosg.dll (Trojan.FalkeAlert) -> Quarantined and deleted successfully.
D:\Programme\Gamers.IRC\mirc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\index.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images\capt.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images\danger.jpg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images\down.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\privacy_danger\images\spacer.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareExpert\st.exe (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
C:\WINDOWS\xvorfwbd.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\vrmdtneg.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\neltabxw.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\ksendlbtqbe.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx4\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiSpywareExpert.lnk (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.

[\CODE]

[CODE]
Malwarebytes' Anti-Malware 1.18
Datenbank Version: 895

23:46:16 27.06.2008
mbam-log-6-27-2008 (23-46-16).txt

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Objekte gescannt: 178337
Scan Dauer: 6 hour(s), 2 minute(s), 40 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

[\CODE]

undoreal 30.06.2008 13:12
Hallöle.



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste danach bitte ein frisches Hijackthis log.

Südafrikaner 30.06.2008 13:48
Danke, aber
Zitat:
"Wir haben versucht CCleaner zu installieren, um es laufen zu lassen und per Combofix eine weitere log zu bekommen.
CCleaner brachte aber eine Fehlermeldung bei der Installation "fehler beim überschreiben der datei
c/programme/ccleaner/ccleaner.exe" bevor wir da weiterinstallieren habe ich mich entschieden jetzt doch erstmal nachzufragen."

Vielleicht kennt jemand diesen Fehler, vielleicht ist er auch unwichtig.
Ich vermute halt, dass wenn CCleaner nicht anständig funktioniert, danach Combofix mir womöglich das komplette System zerschießt.

undoreal 30.06.2008 13:49
Da scheint schon eine cCleaner Version drauf zu sein?!

Deinstalliere die alte und installiere die neue. Ansonsten den Pnkt einfach überspringen.

Südafrikaner 02.07.2008 10:41
Auch wenn ich nicht weiß, ob es alleine aussagekräftig ist:
hier der Log von ComboFix:
Code:
ComboFix 08-06-30.2 - xxx 2008-07-02 11:05:40.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.376 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx3\Eigene Dateien\ICQ\377921192

\ReceivedFiles\271516914 xxx1\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((  Dateien erstellt von 2008-06-02 bis 2008-07-02 

))))))))))))))))))))))))))))))
.

2008-07-01 19:56 . 2008-07-01 19:56        <DIR>        d--------        C:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\ICQ
2008-06-30 21:23 . 2008-06-30 21:23        <DIR>        d--------        C:\Programme\CCleaner
2008-06-30 13:44 . 2008-06-30 13:44        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx3

\Anwendungsdaten\Malwarebytes
2008-06-30 11:58 . 2008-06-30 11:58        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx3

\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-30 11:21 . 2008-07-02 10:01        <DIR>        d--------        C:\ccsetup
2008-06-28 16:26 . 2008-06-28 16:26        <DIR>        d--------        C:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-28 16:25 . 2008-06-28 16:25        <DIR>        d--------        C:\Programme\SUPERAntiSpyware
2008-06-28 16:25 . 2008-06-28 16:25        <DIR>        d--------        C:\Dokumente und

Einstellungen\xxx\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-28 16:24 . 2008-06-28 16:24        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Wise

Installation Wizard
2008-06-28 13:11 . 2008-06-28 13:11        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy
2008-06-28 13:11 . 2008-06-30 21:25        <DIR>        d--------        C:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-27 15:30 . 2008-06-27 15:30        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-

Malware
2008-06-27 15:30 . 2008-06-27 15:30        <DIR>        d--------        C:\Dokumente und

Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-06-27 15:30 . 2008-06-27 15:30        <DIR>        d--------        C:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\Malwarebytes
2008-06-27 15:30 . 2008-06-19 17:48        34,296        --a------        C:\WINDOWS\system32

\drivers\mbamcatchme.sys
2008-06-27 15:30 . 2008-06-19 17:47        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-06-27 14:58 . 2008-06-29 23:09        <DIR>        d--------        C:\Programme\Hijack
2008-06-27 14:43 . 2008-06-30 21:21        <DIR>        d--------        C:\Programme\ewido
2008-06-26 20:06 . 2008-06-27 13:21        3,654        --a------        C:\WINDOWS\system32\tmp.reg
2008-06-26 20:05 . 2006-04-27 17:49        288,417        --a------        C:\WINDOWS\system32\SrchSTS.exe
2008-06-26 20:05 . 2003-06-05 21:13        53,248        --a------        C:\WINDOWS\system32\Process.exe
2008-06-26 20:05 . 2004-07-31 18:50        51,200        --a------        C:\WINDOWS\system32\dumphive.exe
2008-06-22 13:12 . 2008-06-22 13:12        <DIR>        d--------        C:\Dokumente und Einstellungen\xxx4

\Anwendungsdaten\TmpRecentIcons

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht 

))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-02 08:28        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-01 17:59        ---------        d-----w        C:\Programme\ICQ6
2008-07-01 17:59        ---------        d-----w        C:\Dokumente und Einstellungen\xxx3

\Anwendungsdaten\ICQ
2008-06-27 15:25        ---------        d-----w        C:\Programme\ICQToolbar
2008-06-22 14:12        ---------        d-----w        C:\Programme\Avira
2008-06-22 13:19        ---------        d-----w        C:\Programme\Java
2008-06-22 13:18        ---------        d-----w        C:\Programme\VeriSign
2007-05-19 11:11        32        --sha-w        C:\WINDOWS\{813F8FEF-16F3-4A0F-98F4-7024D9BF58D2}.dat
2007-05-19 11:11        32        --sha-w        C:\WINDOWS\system32\{DF7FE374-E297-495D-9A7F-E916A6785FA1}.dat
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung 

))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 21:10 339968]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2002-09-16 13:28 54960]
"ccRegVfy"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" [2002-09-16 13:28 38576]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-23 14:27 262401]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 12:49

188416]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 20:51 131072]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application

Launcher.exe" [2005-10-26 16:17 159744]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-09-06 19:24 155648]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame

Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 02:12 488984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 02:13 774168]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13

77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-23 14:27]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-23 14:27]

*Newly Created Service* - CATCHME
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-LogitechSetup - I:\Setup\Setup.exe
Notify-WgaLogon - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2008-07-02 11:09:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-07-02 11:10:44
ComboFix-quarantined-files.txt  2008-07-02 09:10:39

              9 Verzeichnis(se), 17,069,580,288 Bytes frei
              11 Verzeichnis(se), 17,358,090,240 Bytes frei

100
Hijack kommt noch, Schwesterchen ist einfach offline gegangen.
Virus Alert steht immernoch neben der Uhr.

Südafrikaner 02.07.2008 20:04
Hier die HiJack log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:47:19, on 02.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.prosieben.de/index.php?

icqpath=icq
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?

LinkId=54896
R3 - URLSearchHook: (no name) - {CE000994-A58C-4441-8938-744CD72AB27F} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot -

Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application

Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame

Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpyGuarder] C:\Programme\SpyGuarder\SpyGuarder.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11

\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2

\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search &

Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-

58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1

\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame

Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal

Firewall\ccPxySvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame

dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame

Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation -

C:\Programme\Norton Personal Firewall\NISUM.EXE

--
End of file - 6179 bytes
Grundsatzfrage: ist es wichtig, dass ich combofix und hijack auf dem gleichen benutzer und direkt hintereinander laufen lasse? Das war nämlich nicht der Fall.
"O4 - HKCU\..\Run: [SpyGuarder] C:\Programme\SpyGuarder\SpyGuarder.exe" kommt mir verdächtig vor.

undoreal 02.07.2008 21:53
-- Rogue Spyware --

* Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe
* Speichere es auf dem Desktop.
* starte die RVAXO.exe mit einem Doppelklick
* eventuell öffnet sich ein Uninstaller
* schliesse ihn nicht, lass das Programm laufen
* Starte deinen Rechner danach neu
* nach dem Neustart mach einen Doppelklick auf die RVAXO.exe
* ist sehr wichtig!
* das Logfile findest du hier: C:\RVAXO-results.log

Südafrikaner 03.07.2008 09:20
Also vielen Dank für die Hilfe. Aber diese RVAXO.exe läuft ja scheinbar nicht von selbst. Habe per google rausgefunden, dass ich letztlich in dem neuerstellten Ordner die RVAXO.cmd anklicken muss. Vermutlich ist der Doppelklick auf die RVAXO.exe nach dem Neustart dann hinfällig, meine Schwester hat ihn aber trotzdem gemacht.
Btw.: habe rausgefunden, dass das Programm im abgesicherten Modus scheinbar nicht funktioniert, es meldet ein fehlendes Gerät.
Hier der log (im normalen Modus):
Code:
---RVAXO.exe Updated: 2008-05-29---first run---
Uninstallers:
 
Files found:
C:\WINDOWS\system32\_000006_.tmp.dll
C:\Dokumente und Einstellungen\xxx2\FAVORI~1\Error Cleaner.url
C:\Dokumente und Einstellungen\xxx2\FAVORI~1\Privacy Protector.url
C:\Dokumente und Einstellungen\xxx2\FAVORI~1\Spyware&Malware Protection.url
 
Folders Found:
C:\Dokumente und Einstellungen\xxx2\Anwendungsdaten\seekmo
 
Hosts-file was reset, If you use a custom hosts file please replace it...
 
--------------RVAXO.exe last run---------------
Not deleted items:
C:\Dokumente und Einstellungen\xxx2\Anwendungsdaten\seekmo
 
--------------RVAXO.exe finished----------------

undoreal 03.07.2008 10:09
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Folders to delete:
C:\Dokumente und Einstellungen\xxx2\Anwendungsdaten\seekmo
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste danach bitte ein frisches HJT log und eine aktuelle Beschriebung der evtl. noch vorhandenen Probleme.

Südafrikaner 03.07.2008 21:28
So hier Avenger log (nicht wundern, meine Schwester halt bei den ersten Versuchen nicht den ganzen Text reinkopiert):
Code:
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Thu Jul 03 22:07:57 2008

22:07:57: Error: Invalid script.  A valid script must

begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Thu Jul 03 22:10:07 2008

22:10:07: Error: Invalid script.  A valid script must

begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
h*tp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Dokumente und Einstellungen\xxx2

\Anwendungsdaten\seekmo" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Hier nen Hijack log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18: VIRUS ALERT!, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame

dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition

Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control

Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Sony Ericsson\Mobile2\Application

Launcher\Application Launcher.exe
C:\Programme\Gemeinsame

Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccEvtMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca

Shared\CapabilityManager.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Gemeinsame

Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Gemeinsame

Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\Teleca

Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone

Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Hijack\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Bar =

h*tp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Page = h*tp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page =

h*tp://softwarereferral.com/jump.php?

wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Page_URL =

h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Search_URL =

h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Search Page =

h*tp://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) - {CE000994-A58C-4441-

8938-744CD72AB27F} - (no file)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-

8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-

B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0

\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-

2D53-2644-206D7942484F} - C:\Programme\Spybot - Search

& Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-

BBB695989046} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI

Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame

Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame

Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA

Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite]

"C:\Programme\Sony Ericsson\Mobile2\Application

Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task]

"C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechCommunicationsManager]

"C:\Programme\Gemeinsame

Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon]

"C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [ICQ Lite]

"C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32

\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS]

"C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyGuarder]

C:\Programme\SpyGuarder\SpyGuarder.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe"

silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel

exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11

\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8

-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11

\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D

-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file

missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3

-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-

A200-58CAB36FD2A2} - C:\Programme\Spybot - Search &

Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy

Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}

- C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-

FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-

4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-

1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer

(AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir

PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard

(AntiVirService) - Avira GmbH - C:\Programme\AntiVir

PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner -

C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) -

Symantec Corporation - C:\Programme\Gemeinsame

Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service

(ccPwdSvc) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) -

Symantec Corporation - C:\Programme\Norton Personal

Firewall\ccPxySvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) -

Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech

Inc. - c:\programme\gemeinsame

dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. -

C:\Programme\Gemeinsame

Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc.

- C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton Personal Firewall Accounts

Manager (NISUM) - Symantec Corporation -

C:\Programme\Norton Personal Firewall\NISUM.EXE
O24 - Desktop Component 2: (no name) -

h*tp://reisen.kiwoo.de/urlaub_morgue.jpg
O24 - Desktop Component 3: Privacy Protection -

file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 7786 bytes
Der Desktop des Benutzers (xxx2) ist immernoch zerhackt. Also Arbeitsplatz fehlt (auch unter Start nicht da).
Virus Alert steht neben der Uhr.

undoreal 04.07.2008 04:13
Gut.

Wechsel in den abgesicherten Modus und fixe folgende Einträge:
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R3 - URLSearchHook: (no name) - {CE000994-A58C-4441-8938-744CD72AB27F} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKCU\..\Run: [SpyGuarder] C:\Programme\SpyGuarder\SpyGuarder.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O24 - Desktop Component 2: (no name) - h*tp://reisen.kiwoo.de/urlaub_morgue.jpg
O24 - Desktop Component 3: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
Gleich danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Folders to delete:
C:\WINDOWS\privacy_danger
C:\Programme\SpyGuarder
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Nachdem der Rechner im normalen Modus neugestartet wurde öffne SuperAntiSpyware -> Preferences -> Repairs.
Dort gehe einfach von oben nach unten jeden Punkt durch: Jeweils einen Punkt markieren und auf Perform Repair drücken.

Danach installiere das Service Pack 3 und melde dich mit frischem HJT log sowie einem hoffentlich gesundem PC. ;)

Südafrikaner 04.07.2008 08:57
Ok, also weg ist es leider noch nicht. Steht immernoch in der Taskleiste.
Hier avenger:
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  folder "C:\WINDOWS\privacy_danger" not found!
Deletion of folder "C:\WINDOWS\privacy_danger" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Programme\SpyGuarder" not found!
Deletion of folder "C:\Programme\SpyGuarder" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Und ein Hijackthis log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:39: VIRUS ALERT!, on 04.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Hijack\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://google.icq.com/search/search_frame.php
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE

--
End of file - 6381 bytes
Bei Superantispyware kann man nicht alle Einträge unter Repairs verschwinden lassen. Einige verlangen einen Neustart, sind dann aber immernoch in der Liste.
Danke, dass du nicht aufgibst :D

undoreal 04.07.2008 10:57
Führe bitte mit SuperAntiSpyware alle Reparaturen durch.

Unter Preferences -> Repairs findest du die Optionen dafür. Einfach von oben nach unten nacheinander reparieren lassen.

Südafrikaner 05.07.2008 11:05
Also meine Schwester ist die Liste nochmal durch. Es hat keine Veränderung gebracht.
Virus Alert steht noch neben der Uhr, aber das ist kein aktives Icon. Also Doppelklick bewirkt nur, dass man in das Menu der Uhr kommt.
Weiterhin ist der Desktop noch zerhackt, d.h. Arbeitsplatz Icon fehlt.

Es kommt auch beim user login die meldung: Ihr PC könnte gefährdet sein.

Kann es sein, dass das jetzt nur noch kosmetische Dinge sind? Und der Virus/Trojaner garnicht mehr da ist?

Aktueller Hijack log ist der vom vorherigen Post.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:31 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131